Szerző: Gálffy Csaba

2012. január 2. 13:10

Soron kívüli kritikus frissítéssel zárta az évet a Microsoft

Soron kívüli frissítést adott ki a Microsoft december 29-én, amelyben négy különböző hibát foltoznak. A frissítés kritikus besorolást kapott.

Nem sikerült soron kívüli frissítés nélkül zárnia az évet a Microsoftnak, három nappal 2011 vége előtt kiadta az év egyetlen, nem patch-kedden érkező javítását. A gyors reakciót az indokolta, hogy a legfontosabb hibát a webre néző szerverekben találták, a kiadott frissítés ezt is javítja. Mivel a hiba nyilvános és fontos, a bejelentést követően mindössze néhány óra alatt megszületett és élesedett a Microsoft javítása.

Az n.runs kutatói a múlt héten mutatták be, hogy a legnagyobb, PHP 5, Java illetve ASP alapú webszerverek túlterhelhetőek, köszönhetően a rendszerek hibás hash-tábla kezelésének. A hibák lehetővé tették, hogy egy jól formázott kéréssel maximum mintegy 90-110 másodpercnyi CPU-időt foglaljon le egy támadó - több kéréssel pedig a legnagyobb szerverrendszerek is permanensen megbéníthatóak. A probléma gyökerét az jelenti, ahogy "az érintett szoftverek a beérkező HTTP kérések paramétereiből olyan módon építenek hash-táblákat, hogy egy támadó nagy számú kulcsütközést generálva képes lehet a kiszolgáló erőforrásainak jelentős részét lefoglalni." - foglalta össze a Buherablog.

Murphy és a biztonságos programozás: néhány tanulságos történet (x)

Klasszikus security fail mesék kíváncsi fejlesztőknek.

Murphy és a biztonságos programozás: néhány tanulságos történet (x) Klasszikus security fail mesék kíváncsi fejlesztőknek.

A letölthető frissítés a hash-táblákkal kapcsolatos szolgáltatásmegtagadásos sebezhetőség mellett jogosultságkiterjesztéses hibát is javít - igazából emiatt kapott kritikus besorolást a frissítés. A hiba leírása szerint más felhasználók nevében léphetünk be weboldalakra megfelelően formázott lekéréssel. A hibás beléptetés nyomán a támadó a felhasználó teljes jogosultságát megszerzi, ehhez csupán tudnia kell a megfelelő felhasználónevet. A javítás két további hibát is javít a keretrendszer cache- és az egyes lekéréskezelésében.

A Microsoft szerint a sebezhetőség a .NET Framework összes támogatott verziójában megtalálható, így az 1.1 SP1, 1.0 SP2 3.5 SP1 és 4-es változatban is. Ennek megfelelően az összes támogatott operációs rendszer is érintett.

4 alkalmas, 12 órás biztonságos szoftverfejlesztés alapjai és Scrum otthonról képzésekkel köszönünk el 2020-tól.

a címlapról